Web服務器的配置與管理

Web服務器的配置與管理（2） 虛擬主機技術

在上篇博文中，咱們已經利用IIS搭建好了一臺Web服務器，並能夠成功訪問IIS中自帶的默認站點，那麼咱們是否能夠在這臺服務器中再建立另一個Web站點？也就是說，在一臺Web服務器中是否能夠同時存在多個網站呢？ 答案固然是確定的，其實不少中小企業的網站都是從網上租用的空間，提供空間租用的Web服務器裏就同時存在了不少個網站。 可是當多個網站同時存在於一臺服務器裏時，就必須得有一種方法可以將它們區分開，這種方法也就是虛擬主機技術。 有三種方法能夠實現虛擬主機技術：

• 利用不一樣的IP地址
• 利用不一樣的端口號
• 利用不一樣的主機名（域名）

也就是說，只要讓不一樣的網站在IP地址、端口號、主機名這三項中有一項是不相同的，那麼這些網站就能夠共存了。 下面分別來介紹這三種虛擬主機技術。 1. 使用不一樣IP地址架設多個網站 這種方法是爲每一個網站設置一個不一樣的IP，要採用這種方式首先須要Web服務器安裝有多塊網卡，每塊網卡使用不一樣的IP。若是web服務器中只有一塊網卡，那麼也能夠給這一塊網卡綁定多個IP地址。打開本地鏈接，在TCP/IP屬性的「高級」設置中，爲服務器再添加一個IP地址192.168.0.15，以下圖所示。

下面咱們在【IIS管理器】中再新建一個Web站點。 在IIS管理器中選擇「網站」，而後在右側的「操做」面板中選擇「添加網站」。 「網站名稱」能夠隨意設置，這裏用ytvc。 「物理路徑」也就是網站的主目錄，這裏設置爲c:\ytvc。 網站的協議類型仍爲http，IP地址使用192.168.1.15，端口號80。

網站建立好以後，在其主目錄中也存放一個名爲Default.htm的網頁文件，這樣在客戶端輸入不一樣的IP地址即可以訪問相應的網站。

這種方式在實際應用中不多采用，由於若是服務器使用的是公網IP，那麼公網IP地址是很是寶貴的資源，而這種方式無疑是要浪費大量的IP地址。

2. 使用不一樣TCP端口架設多個網站

這種方法是讓每一個網站仍然使用相同的IP地址，但給不一樣的網站分配不一樣的端口號。如默認網站仍然使用默認的80端口，ytvc網站則將端口改成8000。

首先將剛纔在本地鏈接中添加的第二個IP刪掉，而後在【IIS管理器】中選中ytvc網站，點擊右側「操做」面板中的「綁定」連接，將IP仍然設爲192.168.1.5，將端口設置爲8000。

 這樣客戶端在訪問默認網站的時候，仍然能夠經過URL「http://192.168.1.5」的形式訪問，而若是要訪問ytvc網站，則端口號就不能省略，必需要使用「http://192.168.1.5:8000」形式的URL。 但這時客戶端沒法訪問ytvc網站，這是由於web服務器上的防火牆將發往TCP8000端口的數據自動過濾掉了，能夠暫時關閉防火牆進行測試，或是在防火牆中增長一條入站規則。 打開防火牆的高級設置，新建一條入站規則，要建立的規則類型選擇「端口」。

指定規則應用於TCP 8000端口。

對知足條件的操做容許鏈接。

在全部的網絡上所有應用該規則。

爲規則隨意起一個名稱。

入站規則建立好以後，在客戶端就能夠用8000端口正常訪問ytvc網站了。 採用這種方式，客戶端在訪問網站時必需要在網址後面加上相應的端口號，而用戶是不可能去記住每一個網站的端口號的，因此這種方式在實踐中也不多采用。

3. 使用不一樣主機頭名架設多個網站

主機頭名實際上就是每一個網站的網址，也就是它的FQDN名，因此要利用該方法首先須要在DNS服務器中添加相應的區域和主機記錄。下面在DNS服務器裏建立一個名爲ytvc.com.cn的區域，而後在其中添加一條名爲「www」的主機記錄，對應的IP地址是192.168.1.5。（若是沒有DNS服務器，也能夠經過修改客戶機的hosts文件進行域名解析。）

而後咱們爲ytvc網站設置主機名www.ytvc.com.cn，並將其端口號該回80。

而後再將默認網站的主機名設置爲www.coolpen.net。

這樣客戶端就能夠經過輸入不一樣的網址以訪問不一樣的網站，這也是實際中最常常採用也是最爲推薦的一種方式，但採用這種方式就沒法經過IP地址來訪問相應的網站了（實際中的不少網站都是能夠用網址訪問，但沒法用IP地址訪問。）

 

【轉載】http://www.it165.net/admin/html/201304/1012.html

 

 

Web服務器的配置與管理（3） 配置虛擬目錄

 一個網站中的全部網頁和相關文件都要存放在主目錄下，爲了對文件進行歸類整理，也能夠在主目錄下面創建子文件夾，分別存放不一樣內容的文件，例如一個網站中，新聞類的網頁放在主目錄的news文件夾，技術類的網頁文件放在主目錄的tech文件夾，產品類的網頁文件放在products文件夾等，這些直接存放在主目錄下的子文件夾都稱爲物理目錄。 下面咱們在默認站點的主目錄下建立一個名爲news的子目錄，並在其中放置2個網頁文件。

在客戶端訪問時，若是輸入URL 「http://www.coolpen.net/news」，那麼就是打開news子目錄中的默認首頁，若是輸入URL  「http://www.coolpen.net/news/news.htm」，那麼就是打開news子目錄中指定的網頁。 並不是全部的子目錄都要在物理上直接位於主目錄中，如咱們也能夠「C:\tech」設置爲默認站點的子目錄，這種在邏輯上歸屬於某個網站之下的子目錄就稱爲虛擬目錄。虛擬目錄是主網站的下一級目錄，而且要依附於主網站，但它的物理位置不在主目錄下。 下面咱們先建立「C:\tech」文件夾，而後將其設置爲默認站點的虛擬目錄。 打開【IIS管理器】，在默認站點上右鍵單擊，選擇「添加虛擬目錄」。

虛擬目錄的別名這裏就用tech，而後輸入其物理路徑。

在C:\tech文件夾中放置一些測試網頁，而後在客戶端能夠像訪問物理目錄同樣的去訪問它們。  咱們還能夠將位於另一臺服務器上的共享文件夾設置爲Web站點的虛擬目錄，這也是虛擬目錄技術的最大優點所在。 下面咱們將位於文件服務器FS上共享文件夾fs設置爲默認站點的虛擬目錄。 注意，在指定虛擬目錄的路徑時必需要使用UNC路徑。

因爲這個虛擬目錄是位於網絡上的共享文件夾，因此必需要傳遞身份驗證，也就是要指定以哪一個用戶的身份去訪問。點擊「鏈接爲」，而後輸入域管理員帳戶和密碼。

 這樣在客戶端就能夠正常訪問了。  最後總結一下：

 

【轉載】http://www.it165.net/admin/html/201304/1011.html

 

 

Web服務器的配置與管理（4） 配置訪問權限和安全

1. 用戶身份驗證

IIS網站默認是容許全部用戶鏈接，若是對網站的安全性要求較高，網站只針對特定用戶開放，就須要對用戶進行驗證，進行驗證的主要方法有：

•   匿名身份驗證

•   基自己份驗證

•   摘要式身份驗證

•   Windows身份驗證

系統默認只啓用了匿名身份驗證，因爲2008R2中的IIS採用了模塊化設計，默認只會安裝少數功能與組件，因此要設置使用其餘的身份驗證方法，首先就須要安裝相應的功能組件。

在【服務器管理器】中選擇「添加角色服務」。

在「安全性」中勾選要安裝的3種身份驗證方法。

這4種身份驗證方法的優先級爲：

匿名身份驗證>windows身份驗證>摘要式身份驗證>基自己份驗證

也就是說，若是同時開啓匿名身份驗證和基自己份驗證，那麼客戶端就會優先利用匿名身份驗證，而基自己份驗證則無效！因此若是要使用戶必須驗證身份後才能訪問，首先必須禁用匿名訪問功能，而後再設置身份驗證方式。若是不由用匿名訪問功能，即便設置了身份驗證方式也不會生效。 www.it165.net

在web站點的主窗口中打開「身份驗證」，默認狀況下，「匿名身份驗證」爲「已啓用」狀態，點擊右側「操做」菜單中的「禁用」命令，將其禁用。這樣當用戶再次訪問時就必須使用用戶名登陸。

基自己份驗證

基自己份驗證是使用web服務器的本地用戶進行身份驗證，若是web服務器屬於域的成員服務器，那也還可使用域用戶進行身份驗證。

在身份驗證界面中啓用基自己份驗證，

這樣客戶端在訪問網站的時候就要輸入用戶名和密碼了。咱們先嚐試用本地用戶進行驗證，在Web服務器上新建一個名爲admin的本地用戶。

  而後在客戶端測試，用admin用戶能夠成功訪問網站。

下面再用一個域用戶zhangsan進行測試，若是隻輸入zhangsan的用戶名，是沒法經過驗證的，必需要指定zhangsan所在的域，即便用域用戶帳戶的全名coolpen\zhangsan

咱們也能夠在web服務器上指定所處的域。選中基自己份驗證，而後點擊右側的「編輯」按鈕對其進行設置。

 

默認域：指定Web服務器所處的域。當用戶鏈接網站時，若是用戶輸入了一個用戶名zhangsan，那麼服務器優先將其視爲本地用戶進行身份驗證，若是發現zhangsan不是本地用戶，則自動將其視爲coolpen.net域的域用戶，將用戶名和密碼送到此域的域控制器檢查。這樣設置的好處是，即便是域用戶，也能夠只輸入用戶名，而不須要輸入全名了。

領域：此處的文字可供用戶參考，它會被顯示在登陸界面上。

須要注意的是，「基自己份驗證」的用戶名和密碼都是以明文的方式在網絡中傳送，於是安全性不高。若是要使用基自己份驗證的話，應搭配其餘可確保數據發送安全的措施，如使用SSL鏈接等。

摘要式身份驗證

同基自己份驗證相比，摘要式身份驗證有少量改進，它將用戶名和密碼通過MD5加密以後再到網絡中傳輸，於是比基自己份驗證要更爲安全。但摘要式身份驗證只能用於域環境，要求web服務器必須是域的成員服務器，並且用戶必須是域用戶帳戶。配置起來比較繁雜，並且實際中用得很少，於是這裏就不予介紹。

 

Windows身份驗證

Windows 身份驗證使用 NTLM 或 Kerberos 協議進行身份驗證，可是使用時有必定的侷限性。NTLM協議沒法經過代理服務器，Kerberos協議沒法經過防火牆，因此Windows 身份驗證最適用於Intranet 環境

 

總結：Windows 身份驗證和摘要式身份驗證由於使用條件限制，因此運用不多，咱們更多的是使用基自己份驗證！

另外，虛擬目錄能夠像主網站同樣的設置各類身份驗證方式，對於大多數網站，都是將主網站設置爲容許匿名訪問，而將其下的某個虛擬目錄設置要經過身份驗證方可訪問。

2. IP地址限制

在IIS中，還能夠經過限制IP地址的方式來增長網站的安全性，不過這種方式只適合於向特定用戶提供Web網站，或是限制一些特定用戶訪問。要使用IP地址限制功能，也必須先安裝「IP和域限制」組件。

組件安裝完成後，從新打開IIS管理器，會發現其中多了一個「IP地址和域限制」的功能組件。

打開該組件，點擊右側的「添加容許條目」，能夠設置只容許哪些客戶端訪問該網站。能夠只容許某個特定的IP地址，也能夠是一個地址段。

須要注意的是，若是設置了容許條目，那除了指定的這些IP地址以外，其它的客戶端訪問網站時是將被容許仍是拒絕呢？這個能夠經過右側的「編輯功能設置」來設置。

能夠根據須要將未指定的客戶端設爲容許或拒絕訪問。

 拒絕訪問的設置與此相似。 3. 網站性能調整

若是web服務器的性能通常，或是網站的訪問量比較大，爲避免服務器響應慢或是宕機，能夠限制網站所佔的帶寬及同時鏈接數量。

在默認站點的主界面中，點擊右側「操做」面板中的「限制……」連接。打開編輯網站限制對話框，限制帶寬使用：設置網站容許使用的最大帶寬，單位爲字節，注意不要大於當前網絡帶寬。鏈接超時默認限制爲120秒，即用戶訪問web站點時，若是在120秒內沒有活動則自動斷開。限制鏈接數用於限制容許同時鏈接網站的最多用戶數量。

4. 配置日誌

經過網站日誌，管理員能夠查看跟蹤網站被訪問的狀況，如哪些用戶訪問了本站點、訪問者查看了什麼內容，以及最後一次查看該信息的時間等。可使用日誌來評估內容受歡迎程度或識別信息瓶頸，有時還能夠經過日誌查出非受權用戶訪問網站以便採起應對措施。

在站點主界面中點擊「日誌」能夠對其進行設置。

 

【轉載】http://www.it165.net/admin/html/201304/1013.html